信息系统一般控制审计

信息系统审计,20,一级章节,第六章 信息系统一般控制审计,第一节 信息系统硬件,一、硬件获取,(一) 招标书,信息系统审计,21,1.组织环境,2.处理需求,3.硬件需求,4.系统软件,5.支持需求,6.适应需求,7.实施需求,8.约束条件,(二) 获取步骤,信息系统审计,22,(1)好转时间发生故障时,帮助台或厂商从登录系统到解决问题所需的时间。,(2)响应时间系统响应一个特定的用户查询所需的时间。,(3)吞吐量单位时间内系统的有效工作量,吞吐量的衡量指标可以是每秒执行的指令。,(4)数或其他性能单位。,(5)负载执行必要工作的能力,或系统在给定时间区间内能完成的工作量。,(6)兼容性供应商提供的新系统对现有应用的运行支持能力。,(7)容量新系统处理并发网络应用请求的数目,以及系统能够为每个用户处理的数据量。,(8)利用率新系统可用时间与故障时间之比。,(三) 硬件获取过程的控制与审计,信息系统审计,23,二、硬件维护,三、硬件监控,(一)硬件错误报告,(二)可用性报告,(三)利用率报告,四、硬件的容量管理,信息系统审计,24,第二节 信息系统软件,一、信息系统软件组成,(一) 操作系统,(二) 数据库管理系统,1.程序开发的难易程度,2.数据库管理系统的性能分析,3.对分布式应用的支持,信息系统审计,25,4.并行处理能力,5.可移植性和可扩展性,二、软件获取与实施,第三节 访问控制,一、制定访问控制的制度、程序和计划,信息系统审计,26,(一) 访问控制要求,(二) 形成访问控制策略文件,二、实施有效的识别和认证机制,三、实施有效的授权控制,(一) 管理用户账号,(二) 控制进程和服务,四、执行有效的审计和监督,1.制订并核准有效的事件应对计划,信息系统审计,27,2.有效记录并确认事件,3.正确分析事件并采取适当行动,五、物理访问控制,第四节 职责分离,一、制定职责分离的管理制度,信息系统审计,28,二、员工明确其岗位职责,三、对关键岗位进行监控,第五节 一般控制审计程序,一、系统环境控制审计,(一)物理环境的检查,信息系统审计,29,(二)逻辑环境的检查,(三)硬件基础设施的检查,(四)软件设施的检查,二、系统访问控制审计,(一)逻辑访问控制审计,(1)验证逻辑访问路径。,(2)检查逻辑访问控制软件。,(3)检查身份识别与验证。,(4)检查逻辑访问授权。,信息系统审计,30,(5)检查远程访问控制。,(6)利用审计日志检测系统访问。,(二)物理访问控制审计,三、系统网络架构控制审计,(一)局域网风险与控制审计,(二)客户机/服务器架构安全审计,(三)互联网安全控制审计,(四)网络安全技术应用的审计,信息系统审计,31,(五)网络基础架构审计,(1)审核网络拓扑图,确定网络结构及设施。,(2)审核对局域网的控制,保证体系结构的设计和选择遵循了适当的标准,以及获取和运行成本不 超过其效益,包括物理控制审核、环境控制审核、逻辑控制审核。,(3)远程访问审核。,(4)网络穿透测试。,(5)网络变更控制审核。,四、数据与数据库安全控制审计,(1)审核信息系统在数据处理、传输过程中的数据加密、数字签名、数字信封、数字证书认证等 安全策略控制是否完整有效,评价系统数据的机密性、完整性和可靠性。,信息系统审计,32,(2)审核数据库的存取管理、安全管理和数据库加密技术,评价数据库的安全性。,(3)审核数据库用户的角色、权限管理、身份验证和访问控制等安全控制,评价数据库的安全性。,(4)审核数据库的备份和恢复策略,检查备份数据存放、安全、维护管理,确保数据库的可用性。,五、灾难恢复与业务持续性审计,(1)评价被审计单位的业务持续性策略及其与业务目标的符合性、充分性和有效性。,(2)审核信息系统和终端用户以前所作测试的结果,验证业务持续性计划的有效性。,(3)审核异地应急措施及其内容、安全和环境控制,评估异地存储站点的适当性。,(4)审核应急措施、员工培训、测试结果,评估信息系统和终端用户在紧急情况下的有效反应能力 。,信息系统审计,33,(5)审核被审计单位对业务持续性计划的维护措施。,第七章 信息系统应用控制审计,第一节 数据输入控制,一、数据规划和设计,二、输入授权,信息系统审计,34,(1)在一批表格或源文件上签字,提供恰当的授权证据。,(2)在线访问控制,保证只有经授权的人可以访问数据或执行敏感的操作。,(3)唯一性口令,系统为每个用户分发相互区别的唯一口令,用户输入自己的口令来对系统实施授 权的操作并对数据变动承担责任。,(4)终端或客户工作站的识别,用于限制系统只接受由特定的终端、工作站和个人输入的信息。,三、校验审查,四、批控制和批平衡,(一)批控制的类型,(1)总金额:确认一个批次中被系统处理的项目总金额等于处理前项目金额之和。,信息系统审计,35,(2)总项目数:确认一个批次中的每一个文件中的项目总数等于被处理的项目总数。,(3)总文件数:确认一个批次中文件总数等于被处理的文件总数。,(4)杂数总和:确认一个批次中的所有文件中的数值类字段的总和(虽然不同类型字段加起来的值 并没有实际意义)等于系统计算出来的总和。,(二)批平衡的类型,(1)批注册:通过注册项对批总计进行人工记录,并与系统报告的总计进行比较。,(2)控制账户:使用控制账户是通过一个初始编辑文件来确定批总计。,(3)计算机一致:批总计的计算机一致是通过输入记录批总计的批标题细目来执行的。,(4)系统将其与计算出来的总计进行比较,再决定接受或拒绝本批次。,信息系统审计,36,五、错误报告和错误处理方法,(1)仅拒绝有错误的事务。,(2)拒绝整批事务。,(3)暂停输入批次。,(4)整批接收并对错误事务做标志。,六、联机系统的输入完整性,七、内部审计与监测,信息系统审计,37,第二节 数据处理控制,一、规范的数据处理程序,二、数据确认和编辑检查程序,(1)顺序检查。,(2)极限检查。,(3)范围检查。,(4)有效性检查。,信息系统审计,38,(5)合理性检查。,(6)查表。,(7)存在性检查。,(8)击键校验。,(9)校验数位。,(10)完整性检查。,(11)重复检查。,(12)逻辑关系检查。,三、处理控制,信息系统审计,39,(1)人工重新计算:可以对某一个事务进行采样,由人工进行重新计算,并将其与计算机的处理结果 相比较以确保计算机处理完成了预期的任务。,(2)编辑检查:编辑检查可以是一个程序指令或一个子程序,它用来测试数据的准确性、完整性和 有效性。,(3)程序化控制:可以通过软件来检查和纠正数据错误和处理错误。,(4)计算量的合理性检查:应用程序能确认计算量的合理性,任何被确认为不合理的事务将被拒绝 并挂起以备进一步检查。,(5)计算量的极限检查:如果某计算量没有被正确的键入,可以通过预定义范围限制的编辑检查来 进行控制。,(6)文件总数核对:应当经常性地运行此控制,核对是通过使用一个人工维护账户、一个文件记录 或一个独立的控制文件来执行。,信息系统审计,40,(7)例外报告:由识别不正确的事务或数据的程序产生的文档,通常报告的例外内容是预定义范围 之外,或是与特定的标准不一致的那些项目。,四、文件控制,(1)处理前和处理后的数据映象报告:应当对事务处理前或处理后存入文件中的计算机数据进行记 录并出具报告,有了事务处理前后的两种数据映像,使得在计算机记录中追踪有影响的事务成为可 能。,(2)错误报告的维护和操作:应当有控制程序来保证所有的错误报告被正确地核对与纠正,并适时 地提交。,(3)源文件保存期:源文件应当保存一个足够的时间期间,以确保对数据检索、重组和验证的需要 。,(4)标签:必须为可移动存储介质设定内外部标签,以保证适当的数据被调用和处理。,信息系统审计,41,(5)版本:使用正确和适当的文件版本对于正确的处理是非常关键的。,(6)一对一检查:确保每一个文件都与经计算机处理的详细文件清单相符合,这对于保证所有的文 件都已经被接受处理是非常必要的。,(7)预录输入:特定的信息字段已被预印在空白的输入表单上以减少输入错误。,(8)文件更新和维护授权:适当的文件更新和维护授权可以保证存储数据受到了充分的安全保护, 保证数据是正确的和及时更新的。,(9)校验检查:计算机中的数据传输应当在一种无错误的环境中进行,但当程序或重要的数据在传 输时,有必要增加额外的控制以防出现错误。,五、内部审计与监测,信息系统审计,42,第三节 数据输出控制,一、数据输出报告制度,二、输出报告的生成与分发,三、在安全的地方登记和存储重要表单,四、计算机生成可流通的通知、表单和签名,信息系统审计,43,第四节 数据接口控制,一、接口规划与设计,二、接口处理程序,(一)完善数据转换机制,(二)完善数据传输机制,(三)完善错误处理机制,信息系统审计,44,(四)完善接口权限控制策略,(五)完善接口数据处理措施,(六)完善接口变更流程,第五节 应用控制审计,一、事务流程分析,信息系统审计,45,二、风险评价模型分析应用控制,三、观察和测试用户操作程序,四、数据完整性测试,五、联机事务处理系统中的数据完整性,(1)原子性:从一个用户的观点来看,一个事务在整体上要么是完整的(即所有相关的数据库表都是 最新的),要么什么也不执行。,(2)一致性:把数据库从一个一致性状态转换到另一个一致性状态时,要遵守数据的所有完整性约 束。,(3)隔离性:每一个事务与其他事务相互隔离,因此,每一个事务只访问处于一致性状态的数据库数,信息系统审计,46,据。,(4)持久性:如果给用户的事务报告是完整的,则对数据的任何变化都能恢复,即使是随后的软件或 硬件出现了故障。,六、测试应用系统,七、持续在线审计,(1)系统控制审计文件和内嵌审计模型:该技术通过在组织的主机应用系统中内嵌经特别编写的审 计软件,使审计人员以可以选择的方式来监控应用系统的使用。,(2)快照:这种方式记录一个事务从输入到输出各阶段的处理轨迹。,(3)审计钩:该技术在应用系统中内嵌程序“钩”,像标识符那样起作用,在错误或不规范事务失去 控制之前,提醒信息系统审计人员采取行动。,信息系统审计,47,(4)整体测试:该技术在审计对象应用系统的文件中设置虚构的事务,信息系统审计人员可以使这 些为特定测试目的而虚构的事务与真实事务一起进入应用系统中运行。,(5)持续和间歇性模拟:在一个事务的处理运行期间,计算机系统模拟应用程序指令的执行。,八、应用控制审计的一般程序,信息系统审计,48,图71 一般审计程序,信息系统审计,49,九、输入控制审计,(1)对凭证顺序进行校验。,(2)审查是否设置会计科目代码与名称对照文件,并对其正确性进行审计。,(3)审查是否设置了对应关系参照文件。,(4)审查信息系统中是否存在数据合理性校验。,(5)审查信息系统是否设定了平衡校验。,(6)审查信息系统日志,察看信息系统用户是否制定并遵守输入管理的规则,数据输入是否按照输 入管理规则进行。,十、处理控制审计,信息系统审计,50,(1)查阅企业业务及系统文档选取企业主要的业务处理过程和处理控制。,(2)测试这些处理过程是否符合业务逻辑以及控制是否起到了应有的作用:在系统中进行一些违反 业务逻辑的操作,如果操作结果与预期不一致可以检查程序代码。,(3)检查系统运行错误日志和交易日志。,(4)得出处理控制是否适当的结论。,十一、输出控制审计,(1)识别主要的输出项目。,(2)确定输出审核程序的恰当性:审查输出信息分发前对输出信息进行审核确认的程序;审查 输出分发程序的恰当性;评价用户部门验证输出信息完整准确的程序;确定输出信息对用户 是否实用;确定是否有恰当的人员执行输出审核。,信息系统审计,51,(3)审核输出总数核对程序。,(4)确定敏感数据项目是否被恰当控制。,(5)审核输出资料保留存放的过程。,(6)得出输出控制是否恰当的结论。,十二、接口审计,第八章